Tunis, Tunisia, 18-19 June 2012

CLOUD COMPUTING ET PROTECTION DES DONNÉES PERSONNELLES EN

TUNISIE

HÉLA BEN MILED MAGISTRAT,MEMBRE DE L’INPDP

ITU Workshop on “Cloud Computing”

(Tunis, Tunisia, 18-19 June 2012)

La loi organique n°2004-63 du 27 juillet 2004 portant sur la protection des données personnelles a institué un régime juridique spécifique et protecteur des données relatives à la vie privée

Cette même a prévu la création d'un organisme chargé de la protection des données personnelles:

l'Instance Nationale de Protection des Données à Caractère Personnel.

UNE LOGIQUE DE PROTECTION DE LA VIE PRIVÉE

La loi : - fait peser des OBLIGATIONS à la charge des personnes mettant en œuvre des traitements

de données personnelles

- accorde à l'inverse des DROITS pour les personnes dont les données sont traitées.

Qu’est-ce qu’une donnée à caractère personnel?

Il s’agit de:«Toutes les informations quelle que

soit leur origine ou leur forme et qui permettent directement ou indirectement d'identifier une personne physique ou la rendent identifiable, à l'exception des informations liées à la vie publique ou considérées comme telles par la loi»

(Article 4 de la loi organique n°2004-63 )

Introduction de la notion de donnée sensible

Il s’agit des données personnelles qui concernent directement ou indirectement:

- L'origine raciale ou génétique,- Les convictions religieuses,- Les opinions politiques,- Les opinions philosophiques,- - Les opinions syndicales,- la santé (article 14 de la loi).

Les conditions relatives à un traitement de données

personnelles

1- Le traitement doit s'effectuer dans le respect de la dignité humaine, de la vie privée et des libertés publiques

2- Obligation de loyauté 3- Les finalités du traitement doivent

être licites, déterminées et explicites 4- Les données collectées doivent être

exactes5- La collecte directe des données

Les obligations à la charge des personnes mettant en œuvre un traitement de données personnelles

- Obligation de sécurité- Obligation de confidentialité- - Obligation d'informer la

personne concernée -

Les droits des personnes dont les données sont traitées

- Le consentement préalable de la personne concernée

- Le droit d'accès - - Le droit d'opposition - -Le droit à l’oubli

Toute opération de traitement de données à caractère personnel doit être préalablement déclarée à l'Instance Nationale de Protection des Données à Caractère Personnel ou soumise à autorisation.

QUELLES SONT LES FORMALITÉS PRÉALABLES À LA MISE EN ŒUVRE D’UN TRAITEMENT DE

DONNÉES PERSONNELLES?

10

LES QUESTIONS POSÉES PAR LE CLOUD COMPUTING

• La protection des données personnelles constitue un enjeu majeur dans le cadre du Cloud computing.

Les 2 questions essentielles pour l’Instance posées par le cloud computing

1-Les obligations du responsable du traitement sont-elles respectées?

2-Les droits des personnes concernées sont-ils respectés?

1ère question: Les obligations du responsable du traitement sont-elles respectées?

Est-ce que le cloud computing garantit les obligations de sécurité et de confidentialité?

2de question: Les droits des personnes concernées sont-ils respectés?

Est-ce que le cloud computing garantit :-Le consentement préalable-Le droit d’accès aux données-Le droit d’opposition-Le droit à l’oubli

Problème de responsabilité posé par le cloud computing

Il est important de déterminer qui est le responsable du traitement et le ou les sous-traitants des données pour:

- Connaitre la ou les personnes chargées de faire respecter les règles en matière de protection des données

- Savoir auprès de qui les personnes concernées peuvent exercer leurs droits dans la pratique.

LES QUESTIONS POSÉES PAR LE CLOUD COMPUTING

Le Cloud computing étant basé sur l’utilisation de multiples serveurs situés en divers points de la planète, les difficultés quant à la détermination du droit applicable sont évidentes.

Droit applicable

La détermination du responsable du traitement des données et du sous-traitant des données est fondamentale pour connaitre le droit national applicable, celui du responsable ou du sous-traitant

La réglementation relative au Transfert de données peut-elle s’appliquer au

cloud computing? Les données à caractère

personnel ne peuvent faire l’objet d’un transfert que si l’Etat dans lequel se situe le destinataire de données assure un niveau de protection adéquat

(article 51 de la loi 2004-63)

Un contrat

 

Nécessité d’un contrat pour:

-Matérialiser les exigences en termes de sécurité et de confidentialité-assurer les modalités d’exercice des droits des parties-Définir clairement les responsabilités-Déterminer les juridictions compétentes

Vers un droit universel?

La seule réponse: L’uniformisation des législations

Un droit international de la protection des données personnelles

Merci de votre attention

Contact: hbmiled@inpdp.nat.tnContact: hbmiled@inpdp.nat.tn

21

Tunis, Tunisia, 18-19 June 2012 22

Slide title in Verdana 32

Level 1 text to appear in Verdana font, Point size 32If too much text gets added, the fonts size gets reduced, alerting the author that it is time to continue on an additional slide.

Level 2 text (numbered or bullet) to appear in Verdana font, point size 28This is a hyperlink: www.itu.int

Tunis, Tunisia, 18-19 June 2012 23

0

10

20

30

40

50

60

70

80

90

1997 1998 1999 2000

Americas

Asia

Africa

Arab States

Here is the text that introduces the chart Verdana point size 28

Example with a chart

Tunis, Tunisia, 18-19 June 2012 24

Slide title in Verdana 32example with two columns

This shows the use of two columns. It uses Verdana Font, Point size 24that gives about 6 to 9 months for scheduling its release, researching the background, reviewing the text, consulting authors about review, etc.

This shows the use of two columns. It uses Verdana Font, Point size 24that gives about 6 to 9 months for scheduling its release, researching the background, reviewing the text, consulting authors about review, etc.

Conclusions and Recommendations

Tunis, Tunisia, 18-19 June 2012 25